Il virus Gpcode.ak

Il 4 giugno ultimo scorso, il laboratorio di analisi di Kaspersky Lab ha scoperto una nuova variante del virus Gpcode, apparso la prima volta nel 2004 e ripresentatosi negli anni successivi in altrettante varianti.
Quest'ultima variante del virus, contrassegnata come Win32.Gpcode.ak, agisce come le precedenti criptando i file contenuti nel computer infetto, così da renderli inaccessibili all'utente. Però, a differenza delle precedenti varianti, quest'ultima ricorre ad un algoritmo di compressione piuttosto complesso con una chiave a 1024-bit, il che rende impossibile (almeno sino a questo momento) la decriptazione dei file criptati senza l'ausilio dell'apposita chiave privata.

Il virus, una volta attivato, crea delle copie criptate (con estensione ._CRYPT) dei file che trova sul computer, quindi rimuove i file originali e aggiunge un documento di testo dal nome !_READ_ME_!.txt nella cartella che contiene i file criptati. Il contenuto del file di testo è una sorta di richiesta di riscatto, in cui l'autore del virus chiede all'utente infetto di acquistare lo strumento di decriptazione per potere accedere nuovamente ai propri file:



Il virus cripta i seguenti formati di file:



Poiché non è stato ancora possibile individuare alcun difetto nell'implementazione del metodo di criptazione che ne favorisca l'aggiramento in assenza della chiave privata, l'unica soluzione attuabile al momento è quella di ripristinare le copie originali dei file rimosse dal virus. A tal fine, nel caso in cui foste stati colpiti dal virus, è importantissimo effettuare subito la procedura di ripristino che vi verrà indicata qui di seguito, senza tentare altre azioni preliminari che potrebbero comportare la sovrascrittura delle informazioni esistenti e compromettere irrimediabilmente il ripristino dei file.

Fonte originale: Viruslist.

Ripristino dei file rimossi dal virus: PhotoRec

In caso di infezione da Gpcode.ak, non riavviate il vostro PC ed eseguite tempestivamente le istruzioni descritte qui di seguito. Ogni altra operazione compiuta prima della seguente procedura di ripristino, ne potrebbe compromettere l'efficacia.

1. Scaricate su un PC pulito l'ultima versione del pacchetto di utilities TestDisk, che comprende lo strumento PhotoRec per il recupero dei file. Estraete il pacchetto e copiate la cartella su un'unità removibile (ad esempio un pen-drive).

2. Inserite l'unità removibile nel PC infetto. Non c'è pericolo che l'unità removibile propaghi l'infezione, perché Gpcode.ak non si replica e anzi provvede ad auto-distruggersi dopo aver portato a termine la criptazione dei file.

3. Eseguite il file photorec_win.exe contenuto in testdisk-6.10-WIP -> win.



4. Servendovi dei tasti cursore della tastiera, selezionate l'unità disco che contiene i file da recuperare e poi premete Invio.



N. B.: nel caso in cui il vostro PC contenga più unità disco, la procedura di recupero dovrà essere effettuata separatamente per ciascuna unità.

5. Selezionate il tipo di tabella di partizione. Se non sapete quale scegliere, selezionate il tipo Intel/PC, in quanto dovrebbe adattarsi alla maggior parte dei casi. Alla fine premete Invio.



6. Selezionate la partizione che contiene i file da recuperare e premete Invio.



N. B.: nel caso in cui siano presenti più partizioni, la procedura di recupero dovrà essere effettuata separatamente per ciascuna partizione.

7. Selezionate il tipo di filesystem che è stato usato per formattare l'unità. Gli utenti dei sistemi Windows dovrebbero selezionare la voce Other. Confermate la selezione premendo Invio.



8. Selezionate l'area in cui cercare i file da recuperare e poi premete Invio. Scegliete Whole se volete che i file da recuperare siano cercati in tutta la partizione.



9. Scegliete la cartella in cui salvare i file recuperati. Per spostarvi all'insù nella struttura delle cartelle, selezionate il simbolo della cartella radice (i due punti consecutivi ..). Perché il recupero avvenga correttamente, è necessario scegliere come destinazione una cartella esterna alla partizione che contiene i file da recuperare. Dopo aver scelto la cartella di destinazione, premete Y sulla tastiera per procedere.



Attendete il completamento della procedura di ripristino.



10. Noterete che i nomi dei file recuperati sono diversi da quelli originali, poiché PhotoRec non è in grado di ripristinarli:



Kaspersky Lab ha sviluppato StopGpcode, un tool gratuito per ordinare e rinominare i file recuperati da PhotoRec. Scaricate StopGpcode su un PC pulito, estraete e copiate l'eseguibile stopgpcode.exe su un'unità removibile (ad esempio un pen-drive), quindi inserite l'unità removibile nel PC infetto e copiate il file in C:\. Eseguite StopGpcode dalla riga di comando con i parametri necessari. I parametri supportati sono i seguenti:

stopgpcode.exe -r <recovered files> -i <infected drive> -o <output directory>

-r percorso della cartella contenente i file recuperati da PhotoRec

-i unità/percorso in cui cercare i file criptati con estensione ._CRYPT

-o percorso della cartella in cui salvare i file rinominati



StopGpcode ristabilirà i nomi e i percorsi originali dei file comparando le dimensioni dei file ripristinati con quelle dei file criptati. I file dal nome irrisolto verranno salvati nella cartella conflict.

Se avete recuperato i vostri file grazie a PhotoRec, prendete in considerazione la possibilità di effettuare una donazione in favore del suo autore.

Fonte originale: Viruslist.

Decriptazione dei file criptati dal virus: StopGpcode2

Come vi avevo annunciato qualche giorno fa, Kaspersky Lab ha individuato un errore nell'implementazione dell'algoritmo di criptazione usato dall'autore del virus Gpcode.ak. L'errore è stato sfruttato dagli analisti di Kaspersky Lab per mettere a punto un metodo di decriptazione dei file criptati dal virus, che non richiede l'uso della chiave privata in possesso dell'autore di Gpcode.ak. Tale metodo è stato implementato nella utility StopGpcode2.

I limiti del metodo di decriptazione implementato in StopGpcode2 sono fondamentalmente due: il primo è che bisogna disporre di un certo numero di file criptati e delle corrispondenti versioni non criptate degli stessi. Il secondo è che gli esiti della decriptazione sono influenzati dalle caratteristiche del sistema infetto. In ragione di ciò, non è possibile garantire una percentuale di successo costante in tutti i casi. Tuttavia, durante i test di laboratorio, è stato possibile ripristinare mediamente l'80% dei file criptati, quindi vale la pena di tentare anche questo metodo per recuperare i propri file.



Come ho già detto, il metodo implementato in StopGpcode2 richiede la presenza di un certo numero di file criptati da Gpcode.ak e delle corrispondenti versioni non criptate degli stessi. I file non criptati possono essere ottenuti ricorrendo alla utility di ripristino PhotoRec, come spiegato sopra, oppure possono essere recuperati da una copia di backup precedente all'infezione, o da una copia presente su un altro supporto (ad esempio, nel caso di fotografie digitali trasferite sull'hard disk, gli originali potrebbero essere rimasti nella memory card della fotocamera), o da una copia contenuta in un'unità di rete non raggiunta dall'infezione.

Per applicare il suddetto metodo di decriptazione ai vostri file criptati, procedete nel seguente modo:

1. Copiate su un'unità esterna, all'interno di una cartella che chiamerete encrypted, tutti i file criptati con estensione ._CRYPT presenti sul computer attaccato da Gpcode.ak.

2. Applicate il metodo di ripristino dei file non criptati basato sull'uso della utility PhotoRec, come spiegato nel post precedente, e salvate i file recuperati (dopo averne ripristinato correttamente anche i nomi) su un'unità esterna, all'interno di una cartella che chiamerete backup.

3. Per tutti i file criptati copiati nella cartella encrypted, individuate i corrispondenti file non criptati. Questi ultimi devono essere raccolti tutti all'interno della cartella backup.

Attenzione: per salvaguardare l'integrità dei file non criptati contenuti nella cartella backup, assicuratevi che i loro nomi siano identici a quelli delle rispettive versioni criptate presenti nella cartella encrypted, con l'unica eccezione dell'estensione . _CRYPT.

4. Create una cartella vuota dal nome decrypted, dove saranno salvati i file decriptati.

5. Scaricate ed estraete dall'archivio .zip la utility gratuita StopGpcode2.

6. Avviate StopGpcode2 dal prompt dei comandi (Start-> Esegui -> cmd.exe), specificando il percorso completo delle cartelle encrypted, backup e decrypted. Ad esempio, se la utility StopGpcode2 e le cartelle encrypted, backup e decrypted si trovano nella directory principale del disco E:, allora dovrete digitare il seguente comando:

e:\stopgpcode2.exe e:\encrypted e:\backup e:\decrypted

Premete Invio: la utility inizierà a decodificare i file.



7. Al termine della procedura, verrà visualizzata una finestra di dialogo con il messaggio Done. I file ripristinati saranno salvati nella cartella decrypted.



Attenzione: a volte non è possibile decriptare un file nella sua interezza. In tal caso, la utility lo ripristinerà parzialmente, avvisando l'utente durante la procedura di ripristino con il messaggio Partly recovered.

Attenzione: i test sul funzionamento di StopGpcode2 non dovrebbero essere condotti su macchine virtuali. I risultati ottenuti, infatti, potrebbero differire sensibilmente da quelli riscontrabili su una macchina non virtuale.

Fonte originale: Viruslist.